Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 31 à 40.
| < Les 10 documents précédents | Les 10 documents suivants > |
(20/02/2012 10:25:36)
Découverte d'une faille dans le cryptage RSA
Selon une étude d'une équipe dirigée par le Professeur Arjen Lenstra de l'EPFL, il existe une faille dans le système de cryptage RSA. Ce dernier est celui utilisé pour garantir la sécurité des transactions sur Internet. Les chercheurs suisses et américains, Dan Auerbach et Peter Eckersley, ont testé plusieurs millions de clés RSA publiques. Si le système fonctionne correctement dans la grande majorité des cas, il n'offre aucune sécurité dans 0,2% des cas.
Même si l'exploitation de cette vulnérabilité semble difficile dans la mesure où elle nécessite de trouver la clé publique avec laquelle sont cryptées les informations, deux membres de l'Electronic Frontier Foundation (EFF), Dan Auerbach et Peter Eckersley ont estimé sur un blog que «les conséquences de ces failles [étaient] extrêmement sérieuses. Dans tous les cas, une clé faible pourrait permettre à un espion présent sur Internet d'apprendre des informations confidentielles, comme des mots de passe ou le contenu de messages échangés avec un serveur vulnérable.» L'EFF a précisé qu'elle travaillait actuellement avec l'EPFL pour alerter les opérateurs de serveurs utilisant des systèmes de cryptage vulnérables.
(...)(16/02/2012 15:34:20)Apple va empêcher les apps d'accéder aux contacts
Apple a finalement réagi aux plaintes concernant les applications sur iPhone qui téléchargeraient les données du carnet d'adresses des utilisateurs sans leur consentement. La firme de Cupertino avait reçu beaucoup de critiques sur la trop grande latitude laissée aux développeurs pour piocher dans les données privées des utilisateurs. Le réseau social sur mobile, Path, a été la première société pointée du doigt par un bloggeur qui a vu son carnet d'adresses aspiré par les serveurs de l'éditeur sans son accord. Mais d'autres applications, y compris Facebook, Twitter, Foursquare et Yelp, ont le même comportement.
Une mise à jour d'iOS prévue
Path s'est excusé et d'autres services comme Instagram (photo) et Foursquare (géolocalisation) travaillent sur plus de transparence. Mais la question a été jugée suffisamment grave pour que des membres du Congrès américain écrivent une lettre à Tim Cook, pour avoir des explications sur ce que compte faire la firme sur iOS et sur sa politique vis-à-vis des développeurs pour protéger les données des utilisateurs. Apple a réaffirmé que les règles imposent aux développeurs d'avoir l'approbation des utilisateurs pour collecter et transmettre les contacts. Il semble que ces explications ne suffisent pas, puisque la firme de Cupertino va publier une mise à jour d'iOS. Tom Neumayr, porte-parole d'Apple, a expliqué à nos confrères de AllThingsD « nous travaillons pour rendre les meilleurs services à nos clients, comme nous l'avons fait avec les services de localisation. N'importe quelle application souhaitant accéder aux données privées sera obligée d'avoir l'autorisation explicite de l'utilisateur ». (...)
Facebook promet d'effacer définitivement les photos supprimées
Sur Facebook, certaines photos, supprimées il y a 3 ans, restent toujours accessibles aujourd'hui, a révélé une enquête réalisée par Ars Technica. Le site a en effet constaté que quelques-unes des photos supprimées par les membres du réseau social étaient toujours stockées sur les serveurs de la plateforme. Facebook a répondu à Ars Technica que comme ses anciens systèmes ne supprimaient pas toujours les contenus dans un délai raisonnable, ce n'est qu'en les déplaçant vers des systèmes plus récents qu'ils seront retirés des serveurs dans les 45 jours après la demande de l'utilisateur.
« Nous avons travaillé dur pour migrer le stockage des photos sur des systèmes récents qui garantissent que les clichés seront entièrement supprimés dans les 45 jours suivant la demande d'effacement », a assuré Frédéric Wolens , porte-parole de Facebook a Ars Technica « Ce processus est presque achevé et il n'y a qu'un très faible pourcentage de photos d'utilisateurs sur l'ancien système qui attendent la migration. », a-t-il ajouté. « Nous nous attendons à ce processus soit achevé d'ici quatre semaines à deux mois. Nous nous assurerons de désactiver les anciens clichés », précise-t-il.
Le papier du site Ars Technica a donné du grain à moudre à un étudiant autrichien, Max Schrems, qui a créé une association, europe v facebook. Elle est à l'origine d'un audit de la part de la CNIL irlandaise sur les pratiques du site de réseau social en matière de confidentialité. Facebook a rencontré les membres de l'association et s'est engagé dans l'effacement total des données de l'utilisateur. Une façon d'anticiper le droit à l'oubli numérique prévu dans le projet de directive européenne sur la protection des données.
(...)
Google renforce la sécurité de l'Android Market avec Bouncer
Google a décidé d'utiliser un service baptisé Bouncer qui "apporte un scan automatique de l'Android Market pour repérer les programmes malveillants sans perturber les utilisateurs ou obliger les développeurs à faire valider leurs applications", a déclaré Hiroshi Lockheimer, vice-président en charge de l'ingénierie chez Android, dans un message publié sur Google Mobile Blog.
Bouncer a été conçu pour scanner à la fois les nouvelles applications et celles qui sont déjà proposées. Le service est également destiné à empêcher les auteurs de programmes malveillants de récidiver en ouvrant un compte développeur sous un nouveau pseudonyme. Avant l'introduction de Bouncer, Google agissait seulement après signalement des utilisateurs, qui devaient télécharger et utiliser l'application avant de remarquer qu'elle était problématique.
Une plate-forme de vente moins sécurisée que celle d'Apple
Au mois de décembre, l'entreprise Sophos, spécialisée dans la sécurité a révélé qu'au moins 10 000 utilisateurs avaient téléchargé des applications malveillantes depuis l'Android Market de Google, mais a précisé que le téléchargement d'applications potentiellement dangereuses avait baissé de 40% entre la première et la deuxième moitié de l'année 2011. Il est impossible d'empêcher les personnes mal intentionnées de créer des applications malveillantes, mais ce qui compte, c'est de faire en sorte que ces applications ne soient pas téléchargées depuis l'Android Market - et nous savons que le taux de téléchargement de telles applications est en baisse", écrit Hiroshi Lockheimer.
Google a déclaré avoir atteint un record de 11 milliards de téléchargements d'applications sur Android Market en janvier. Apple, de son côté, avait annoncé que 18 milliards d'applications avaient été téléchargées depuis l'App Store en octobre 2011. La firme de Cupertino est connue pour son rigoureux processus d'approbation des applications -- ce dernier peut parfois prendre des mois.
Possesseurs d'appareils Android ou développeurs, tous apprécient la nouvelle mesure de sécurité imaginées par Google: les premiers pensent que Bouncer les aidera à se protéger contre les applications malveillantes et les autres sont ravis de constater que Google n'altère en rien la simplicité et la rapidité de son processus de soumission d'applications.
(...)(02/02/2012 10:55:36)Rolf Haenni : " je ne pense pas que le fisc américain puisse déchiffrer les données sans aide"
Monsieur Haenni, vous êtes professeur à la Berner Fachhochschule à Bienne et travaillez au «Research Institute for Security in the Information Society», pensez-vous qu'il existe un risque que les autorités américaines puissent décrypter les données fournies par la Suisse sans en recevoir la clé de cryptage?
Rolf Haenni : Il est difficile de répondre à cette question dans la mesure où nous ne savons pas quelle méthode de cryptage a été utilisée. Cependant, si nous supposons qu'une solution de chiffrement AES standard a été appliquée, je ne pense réellement pas que les autorités américaines puissent déchiffrer les données sans aide.
Que signifie exactement AES ?
AES, qui signifie Advanced Encryption Standard, est un algorithme de chiffrement symétrique. Cela signifie que la clé de cryptage est la même que celle utilisée pour le déchiffrement. Il existe plusieurs niveaux de cryptage: AES-128, AES-192 et AES-256. Le nombre correspond à la longueur de la clé. Plus elle est longue, plus le cryptage est fort.
Comment peut-on craquer un algorithme AES ?
A ce jour, nous n'avons pas eu connaissance d'attaques réussies sur l'algorithme AES. En principe, il n'y a qu'une seule possibilité de craquer un algorithme AES, c'est d'essayer toutes les clés possibles. Mais il faut être conscient que, même avec la plus faible des clés de cryptage, à savoir AES-128, il existe environ 10 puissance 40 clés possibles. Pour AES-256, ce nombre passe à environ 10 puissance 80. Ce nombre correspond approximativement à la quantité d'atomes qui circulent dans notre univers. Même un supercalculateur appartenant au gouvernement américain ne pourrait déchiffrer le code dans un délai raisonnable.
Pourriez-vous être plus précis ?
En fait, si un ordinateur très rapide teste un milliard (10 puissance 9) de clés par seconde, alors en une année, il teste environ 10 puissance 17 clés. Il faudrait alors encore 10 puissance 23 ans pour décrypter une clé AES-128, ou même, pour une clé AES-256, 10 puissance 63 ans, une durée beaucoup, beaucoup plus longue que l'âge de notre univers. Et cela ne changerait rien si l'on utilisait un milliard de ces ordinateurs simultanément, parce que le nombre d'années serait réduit à respectivement 10 puissance 14 et 10 puissance 54. Par conséquent, cette tâche est encore sans espoir avec tous les ordinateurs existants.
Ainsi, vous ne voyez pas de problème à l'approche du Conseil fédéral ?
Je pense que c'est certainement une décision tactique. Mais je ne peux pas répondre à cette question, parce comme je le disais que nous ne savons pas quelle est la norme de cryptage utilisée. Si on pose l'hypothèse que l'algorithme AES a véritablement été utilisé, alors je ne vois effectivement aucun problème d'un point de vue purement technique avec la décision du Conseil fédéral.
Effacer toutes les données d'un mobile Android
A l'heure où l'utilisation des smartphones explose, les utilisateurs y conservent de nombreuses données - emails, photos, documents, historique de leur navigateur etc. Or, selon les tests effectués par des chercheurs du Zurich Information Security and Privacy Center basé à l'EPFZ, un simple effacement de ces données ne suffit pas à les faire disparaître complètement du smartphone. En cas de perte ou de vol de l'appareil, cela signifie que ces données peuvent facilement être récupérées par des personnes mal intentionnées et utilisées à mauvais escient.
App pour AndroidPar conséquent, cette équipe de chercheurs a mis au point sa propre application, baptisée SHREDoid, qui doit permettre d'éliminer définitivement les données effacées. Leurs recherches se sont pour l'instant concentrées sur l'OS Android ainsi que sur les fichiers FLASH. Ils ont développé une application qui oblige le système Android à effacer définitivement les données sauvegardées en mémoire interne et externe, comme par exemple sur une carte SD. L'application est pour l'instant disponible gratuitement en version de base avec fonctionnalités limitées.
Concernant Flash, le problème est plus complexe, notent les chercheurs. En effet, il touche le coeur du système d'exploitation. Ils étudient par conséquent la possibilité de crypter les données sensibles lors de leur sauvegarde, et d'instaurer un mécanisme qui effacerait la clé de cryptage en l'écrasant lors de l'effacement des données. «Cette solution ne peut toutefois pas être développée par le biais d'une application, car elle nécessite des modifications au sein même du système d'exploitation», indique Srdjan Capkun, spécialiste en sécurité de l'information, relevant toutefois que l'investissiment pourrait s'avérer judicieux au vu de l'importance de pouvoir éliminer des données de manière permanente.
Symantec propose une mise à jour de sécurité pour pcAnywhere
Il y a quelques jours, Symantec recommandait de désactiver son produit pcAnywhere suite au vol de son code source par des pirates. En effet, notait Symantec, les pirates ayant eu accès au code pourraient exploiter certaines failles de sécurité identifiées dans le logiciel.
Ce vol était connu depuis plusieurs semaines. Néanmoins, comme les pirates avaient dérobé le code source des versions 2006 de plusieurs logiciels, dont Norton Antivirus Corporate Edition, Norton Internet Security et pcAnywhere, Symantec avait dans un premier temps estimé qu'au vu de l'âge de ces produits ces vols ne constituaient pas une menace pour les utilisateurs. La firme américaine avait néanmoins ensuite fait marche arrière en reconnaissant que pcAnwhere n'avait que peu évolué depuis 2006, pouvant donc créer un risque.
Une mise à jour gratuiteQuelques jours après cette recommandation de ne plus utiliser pcAnywhere, Symantec a annoncé hier que l'utilisation de la dernière version de son logiciel, soit la version pcAnywhere 12.5, était désormais sûre dès lors que le patch fourni le 23 janvier était installé. Idem pour les versions 12.0 et 12.1 après l'installation d'un second patch de sécurité mis en ligne le 27 janvier. En revanche, les versions antérieures du logiciel restent vulnérables. En conséquence, la firme américaine a décidé d'offrir une mise à jour gratuitement à tous ses clients, y compris ceux qui utilisent d'anciennes versions du produit pour lesquelles les mises à jour ne sont en principe plus gratuites.
ICTJournal.ch (...)(31/01/2012 13:53:15)Que sait Google sur vous ?
A l'heure où Google unifie ses règles de confidentialité et annonce la combinaison des données des différents services pour mieux cibler l'internaute, un lien sur le gestionnaire des préférences des annonces vous montrera que l'éditeur connaît déjà des choses sur vous. Ne cherchez pas cette page sur le dashboard de votre compte Google, elle est distincte du tableau de bord classique.
Ce gestionnaire utilise le cookie de Google Adwords pour tracer les visites de l'internaute. Sur cette base, il arrive à déterminer les centres d'intérêt, mais aussi à proposer des « données démographiques déduites » sur l'âge et le sexe de la personne. Le cookie est valable sur un ordinateur, ce qui veut dire qu'en fonction de l'utilisation, des recherches, les données déterminées par Google peuvent changer. Les résultats sont parfois erronés notamment sur le sexe des internautes et leur âge. Pour ceux que cela effraie, il est possible de désactiver le cookie directement sur la page.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |